Configurare l'ambiente di test di Microsoft Entra dell'applicazione
Per facilitare lo spostamento dell'app nel ciclo di vita di sviluppo, test e produzione, configurare un ambiente di test di Microsoft Entra. È possibile usare l'ambiente di test di Microsoft Entra durante le fasi iniziali dello sviluppo di app e a lungo termine come ambiente di test permanente.
Tenant di test dedicato o tenant di produzione Microsoft Entra?
La prima attività consiste nel decidere tra l'uso di un tenant di Microsoft Entra dedicato ai test o al tenant di produzione come ambiente di test.
L'uso di un tenant di produzione può semplificare alcuni aspetti del testing dell'applicazione, ma richiede il livello di isolamento corretto tra le risorse di test e di produzione. L'isolamento è particolarmente importante per gli scenari con privilegi elevati.
Non usare il tenant Microsoft Entra di produzione se:
- L'applicazione usa impostazioni che richiedono l'univocità a livello di tenant. Ad esempio, l'app potrebbe dover accedere alle risorse del tenant come se stesso, non per conto di un utente, usando autorizzazioni solo app. L'accesso solo app richiede il consenso amministratore che si applica all'intero tenant. Tali autorizzazioni sono difficili da definire in modo sicuro all'interno di un limite del tenant.
- Si ha una bassa tolleranza di rischio per il potenziale accesso non autorizzato delle risorse di test da parte dei membri del tenant.
- Le modifiche alla configurazione potrebbero influire negativamente sull'operazione critica dell'ambiente di produzione.
- Non è possibile creare utenti o altri dati di test nel tenant di produzione.
- I criteri sono abilitati nel tenant di produzione che richiedono l'interazione dell'utente durante l'autenticazione. Ad esempio, se è necessaria l'autenticazione a più fattori per tutti gli utenti, non è possibile usare gli accessi automatici per i test di integrazione.
- L'aggiunta di risorse e/o carichi di lavoro non di produzione al tenant di produzione supererebbe i limiti di servizio o di limitazione per il tenant.
Se si applica una di queste restrizioni, configurare un ambiente di test in un tenant separato.
Se nessuna di queste restrizioni si applica, è possibile configurare un ambiente di test nel tenant di produzione. Tenere presente che gli utenti con ruoli con privilegi nel tenant di produzione (ad esempio Amministratore applicazioni cloud) possono accedere alle risorse e modificarne la configurazione in qualsiasi momento. Per impedire l'accesso a qualsiasi risorsa o configurazione di test, inserisci tali dati in un tenant separato.
Configurare un ambiente di test in un tenant separato
Se non è possibile limitare in modo sicuro l'app di test nel tenant di produzione, creare un tenant separato per finalità di sviluppo e test.
Ottenere un tenant di test
Se non si ha già un tenant di test dedicato, è possibile crearne uno gratuitamente usando il Programma per sviluppatori di Microsoft 365 o crearne manualmente uno manualmente.
Partecipare al Programma per sviluppatori di Microsoft 365 (scelta consigliata)
Il Programma per sviluppatori di Microsoft 365 è gratuito e può avere account utente di test e pacchetti di dati di esempio aggiunti automaticamente al tenant.
- Fare clic sul pulsante Partecipa ora nella schermata.
- Accedere con un nuovo account Microsoft o usare un account esistente (di lavoro).
- Nella pagina di iscrizione selezionare l'area geografica, immettere un nome della società e accettare i termini e le condizioni del programma prima di fare clic su Avanti.
- Fare clic su Configura sottoscrizione. Specificare l'area in cui si vuole creare il nuovo tenant, creare un nome utente, un dominio e immettere una password. Verranno creati un nuovo tenant e il primo amministratore del tenant.
- Immettere le informazioni di sicurezza necessarie per proteggere l'account amministratore del nuovo tenant. Verrà configurata l'autenticazione a più fattori per l'account.
Creare manualmente un tenant
È possibile creare manualmente un tenant, che sarà vuoto al momento della creazione e dovrà essere configurato con i dati di test.
Popolare il tenant con gli utenti
Suggerimento
I passaggi descritti in questo articolo possono variare leggermente in base al portale da cui si inizia.
Per praticità, è possibile invitare se stessi e altri membri del team di sviluppo come utenti guest nel tenant. Verranno così creati oggetti guest separati nel tenant di test, ma questo significa che occorre gestire un solo set di credenziali per l'account aziendale e l'account di test.
- Accedere all'interfaccia di amministrazione di Microsoft Entra almeno in qualità di Sviluppatore di applicazioni.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente Invita utente>esterno e invitare l'indirizzo di posta elettronica dell'account aziendale.
- Ripetere per altri membri del team di sviluppo e/o test per l'applicazione.
È anche possibile creare utenti di test nel tenant di test. Se è stato usato uno dei pacchetti di esempi di Microsoft 365, nel tenant potrebbero essere già presenti alcuni utenti di test. In caso contrario, dovrebbe essere possibile crearne alcuni come amministratore del tenant.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente Crea nuovo utente> e creare alcuni nuovi utenti di test nella directory.
Ottenere un abbonamento a Microsoft Entra (facoltativo)
Per testare completamente le funzionalità di Microsoft Entra ID P1 o P2 nell'applicazione, è necessario iscriversi al tenant per ottenere una licenza Premium P1 o Premium P2.
Se si è effettuata la registrazione usando il programma Per sviluppatori Microsoft 365, il tenant di test verrà creato con licenze di Microsoft Entra ID P2. In caso contrario, è comunque possibile abilitare una versione di valutazione gratuita di un mese di Microsoft Entra ID P1 o P2.
Creare e configurare una registrazione app
È necessario creare una registrazione dell'app da usare nell'ambiente di test. Deve trattarsi di una registrazione separata rispetto alla registrazione dell'app di produzione finale, per mantenere l'isolamento della sicurezza tra l'ambiente di test e l'ambiente di produzione. La modalità di configurazione dell'applicazione dipende dal tipo di app che si sta creando. Per altre informazioni, vedere la procedura di registrazione dell'app per lo scenario dell'app nel riquadro di spostamento a sinistra, ad esempio questo articolo per la registrazione dell'applicazione Web.
Popolare il tenant con i criteri
Se l'app verrà usata principalmente da un'unica organizzazione, uno scenario comunemente denominato a tenant singolo, e si ha accesso a tale tenant di produzione, è consigliabile provare a replicare le impostazioni del tenant di produzione che possono influire sul comportamento dell'app. Questo consente di ridurre le probabilità di errori imprevisti in produzione.
Criteri di accesso condizionale
La replica dei criteri di accesso condizionale garantisce che non si verifichi un accesso bloccato imprevisto quando si passa all'ambiente di produzione e l'applicazione possa gestire in modo appropriato gli errori che è probabile che venga ricevuta.
La visualizzazione dei criteri di accesso condizionale del tenant di produzione potrebbe dover essere eseguita da un amministratore dell'accesso condizionale.
- Passare a Applicazioni di identità>->Applicazioni aziendali>Accesso condizionale.
- Visualizzare l'elenco dei criteri nel tenant. Fare clic sul primo.
- Passare ad Applicazioni cloud o azioni.
- Se i criteri si applicano solo a un gruppo selezionato di app, passare al criterio successivo. In caso contrario, sarà probabilmente applicabile anche all'app quando si passa all'ambiente di produzione. È consigliabile copiare i criteri nel tenant di test.
In una nuova scheda o in una nuova sessione del browser accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore dell'accesso condizionale per accedere al tenant di test.
- Passa a Protezione>Accesso condizionale.
- Selezionare Crea nuovo criterio
- Copiare le impostazioni dai criteri del tenant di produzione, identificati nei passaggi precedenti.
Criteri di concessione delle autorizzazioni
La replica dei criteri di concessione delle autorizzazioni garantisce che non vengano visualizzate richieste impreviste di consenso dell'amministratore quando si passerà all'ambiente di produzione.
Passare a Applicazioni di identità>Applicazioni>aziendali>Consenti e autorizzazioni>Impostazioni di consenso utente. Copiare le impostazioni nel tenant di test.
Criteri di durata dei token
La replica dei criteri di durata dei token garantisce che i token rilasciati all'applicazione non scadano in modo imprevisto nell'ambiente di produzione.
I criteri di durata dei token possono attualmente essere gestiti solo tramite PowerShell. Leggere informazioni sulla durata dei token configurabili per informazioni sull'identificazione dei criteri di durata dei token applicabili all'intera organizzazione di produzione. Copiare questi criteri nel tenant di test.
Configurare un ambiente di test nel tenant di produzione
Se è possibile vincolare in modo sicuro l'app di test nel tenant di produzione, procedere e configurare il tenant a scopo di test.
Creare e configurare una registrazione app
È necessario creare una registrazione dell'app da usare nell'ambiente di test. Deve trattarsi di una registrazione separata rispetto alla registrazione dell'app di produzione finale, per mantenere l'isolamento della sicurezza tra l'ambiente di test e l'ambiente di produzione. La modalità di configurazione dell'applicazione dipende dal tipo di app che si sta creando. Per altre informazioni, vedere i passaggi di registrazione dell'app per lo scenario dell'app nel riquadro di spostamento a sinistra.
Creare alcuni utenti di test
È necessario creare alcuni utenti di test con i dati di test associati da usare durante il test degli scenari. Questo passaggio potrebbe dover essere eseguito da un amministratore.
- Passare a Identità>Utenti>Tutti gli utenti.
- Selezionare Nuovo utente Crea nuovo utente> e creare alcuni nuovi utenti di test nella directory.
Aggiungere gli utenti di test a un gruppo (facoltativo)
Per praticità, è possibile assegnare tutti questi utenti a un gruppo, semplificando così altre operazioni di assegnazione.
- Passare a Gruppi>di identità>Tutti i gruppi.
- Selezionare Nuovo gruppo.
- Selezionare Sicurezza o Microsoft 365 per tipo di gruppo.
- Assegnare un nome al gruppo.
- Aggiungere gli utenti di test creati nel passaggio precedente.
Limitare l'applicazione di test a utenti specifici
È possibile limitare gli utenti nel tenant autorizzati a usare l'applicazione di test a utenti o gruppi specifici tramite l'assegnazione di utenti. Quando è stata creata un'app tramite Registrazioni app, è stata creata anche una rappresentazione dell'app nelle applicazioni aziendali. Usare le impostazioni applicazioni aziendali per limitare chi può usare l'applicazione nel tenant.
Importante
Se l'app è un'app multi-tenant, questa operazione non impedisce agli utenti in altri tenant di accedere e usare l'app. Limita gli utenti nel tenant in cui è configurata l'assegnazione dell'utente.
Per istruzioni dettagliate sulla limitazione di un'app a utenti specifici in un tenant, passare a limitare l'app a un set di utenti.
Passaggi successivi
Informazioni sui vincoli di utilizzo di Microsoft Entra e sui limiti del servizio che è possibile raggiungere qui. La sottoscrizione generale di Azure e i limiti, le quote e i vincoli dei servizi sono disponibili qui.
Per informazioni più dettagliate sugli ambienti di test, vedere Protezione degli ambienti di Azure con Microsoft Entra ID.